歐盟一般資料保護規範
此條目需要擴充。 (2018年7月12日) |
此條目需要精通或熟悉相关主题的编者参与及协助编辑。 (2018年7月12日) |
欧洲联盟法规 | |
歐洲經濟區文件 | |
全称 | 关于在处理个人資料和在转移这些数据方面保护自然人的法规,以及废除指令95/46/EC(数据保护指令) |
---|---|
编号 | 欧洲联盟法规第(EU) 2016/679号 |
提案者 | 欧洲议会和欧盟理事会 |
欧盟公报 | L119, 4 May 2016, p. 1–88 |
立法历史 | |
起草日期 | 2016年4月14日 |
實施日期 | 2018年5月25日 |
审议阶段文件 | |
欧洲联盟委员会草案 | COM/2012/010 final – 2012/0010 (COD) |
相关法律 | |
取代 | 《数据保护指令》 |
现状:正式立法 |
《一般資料保護規範》(英語:General Data Protection Regulation,缩写作GDPR;欧盟法规编号:(EU) 2016/679[1]),又名《通用資料保護規則》,是在欧盟法律中對所有歐盟個人關於数据保護和隱私的規範,涉及了歐洲境外的個人資料出口。GDPR主要目標為取回個人對於個人資料的控制,以及為了國際商務而簡化在歐盟內的統一規範。[2]
GDPR取代了歐盟在1995年推出的歐盟個人資料《数据保护指令》(Data Protection Directive)95/46/EC,該條例包含有關處理歐盟內部数据主體的個人可識別資訊的條款和要求,適用於與歐洲做生意的所有企業,不論實體位置何在。處理個人数据的業務流程必須在設計和默认情況下構建数据保護,這意味著個人数据必須使用假名化或匿名化進行存儲,並且默认使用盡可能最高的隱私設置,以避免公開数据未經明確同意,並且不能用於識別沒有單獨存儲附加信息的主題。任何個人数据除非在法規規定的合法基礎上完成,否則数据控制者或處理者已經從数据所有者那裡獲得明確的選擇同意。数据所有者有權隨時撤銷此權限。
個人数据處理者必須清楚地披露任何数据收集,聲明数据處理的合法基礎和目的,保留数据的時間以及是否與任何第三方或歐盟以外的國家共享数据。用戶有權以通用格式請求處理器收集的数据的便攜式副本,並有權在特定情況下刪除其数据。 公共主管部門和以核心活動為中心定期或系統地處理個人数据的企業需要雇用数据保護官員(DPO)負責管理GDPR的合規性。如果資料洩露對用戶隱私產生不利影響,企業必須在72小時內報告任何資料洩露。
本法案在2016年4月27日通過,兩年的緩衝期後,在2018年5月25日強制執行[3]。根據歐洲聯盟運作條約第288條第2項,因為GDPR属于欧盟条例(英語:regulation;德語:Verorderung),不是指令(英語:directive;德語:Richtlinie),所以不需經過歐盟成員國立法轉換成各國法律,而可直接適用[4]。隨著英國在2019年脫離歐盟,它於2018年5月23日御准批准了2018年資料保護法案 。该法案包含了相應的法規和保護措施[5][6]。
摘要
GDPR延伸歐洲資料保護法的領域至所有處理歐盟住民的境外公司。[7] GDPR使通行歐盟的資料保護規章一致,因此使歐洲以外的公司能夠更容易地遵守這些規章;然而代價是嚴格的資料保護規定,且有著公司全球收益4%或兩千萬歐元(擇高者)的高額罰款。[8]
原則
OECD 發表“個人数据隱私和跨境流動保護指南”,這是歐盟和美國批准的一系列建議,旨在保護個人数据和隱私的基本人權。最初於1980年9月23日通過法律,並且基於以下八大原則[9]產生出後來的 GDPR 、95/46/EC。
- 取得限制 (Collection Limitation Principle)
- 個人資料的收集應存在適當的限制,進而以合法且公平的方式取得,並且透過適當的方法知會資料來源或者主體,再進一步取得同意。
- 資料品質 (Data Quality Principle)
- 個人資料應與其使用目的相關,並且在必要的範圍內,確保資料的準確性以及完整性,並隨時更新。
- 目的明確 (Purpose Specification Principle)
- 資料取得的目的應於收集資料時就清楚說明,並且在使用資料時,如果沒有通知來源主體,不得應用在和當初目的不相關的用途上
- 使用限制 (Use Limitation Principle)
- 除非經資料主體或法律授權,否則不得將個人資料用於原始或者特定目的以外之目的
- 安全防護 (Security Safeguards Principle)
- 個人資料應受到合理的安全保護措施之保障,以防止丟失或未經授權的訪問,破壞,使用,修改或披露数据等風險。
- 開放原則 (Openness Principle)
- 關於個人資料開發、應用方法,應有一個通用的開放政策去規範。並且資料主體可以輕鬆得取得關於其本身資料的細節,例如資料使用者的身份以及目的等等。
- 個體參與 (Individual Participation Principle)
- 資料主體擁有資料的取用權,也有資料的拒絕被使用權。此外也能夠質疑資料的正確性,並作出合理的處置(刪除、修改等)。
- 責任原則 (Accountability Principle)
- 資料持有者應對上述原則負責。
主要變動
儘管歐盟在1995年制定了個人資料保護指令(Data Protection Directive),但當時網路並不普及,為了因應當前資料導向的潮流以符合現代時空環境,2016年通過 GDPR 取代了先前的法規,而主要變動如下:
增加管轄範圍、加強罰則
正因為網路無遠弗屆的特性,在以往指令的區域適用性含糊不清的情況下,常常在相關案件的審理上窒礙難行。因此 GDPR 擴展了其管轄範圍,不管公司所在位置為何,現在只要有使用到歐盟人民所擁有的資料,或者向歐盟公民提供商品或服務的公司皆適用於 GDPR。
除此之外也加強了罰則力道,例如沒有足夠的客戶同意來處理数据或違反隱私設計概念的企業組織,將會被歐盟處以高達年度全球營業額的4%或2000萬歐元(以較高者為準)。值得注意的是這些規定同時適用於決策者以及「機器」,這代表的相關的雲端服務也在管轄範圍內。
更規定在向使用者請求資料使用權時,須以提供於理解且明確的說明,並且也要讓使用者易於要撤回同意。
適用對象
下列適用對象握有其客戶或成員相關資料,皆受 GDPR 管轄。
適用對象 | 例子 |
---|---|
客戶中有歐盟公民 | 餐廳、旅館、旅行社、計程車、電商 |
歐盟供應商、雇用歐盟員工 | 正職員工、兼職員工、供應商、合作廠商 |
非營利組織與政府機構 | GREENPEACE、NGOs |
保護範圍
只要是一個人所能產生出的任何資料,幾乎都被重新定義為個人資料並受到保護。
- 個人身份 - 電話號碼、地址、車牌等
- 生物特徵 - 歷資料、指紋、臉部辨識、視網膜掃描、相片等
- 電子紀錄 - Cookie、IP 位置、行動裝置 ID、社群網站活動紀錄
法規基礎
GDPR的法规基础有:[10]
- 被遺忘權 (Right to be forgotten):可以要求控制資料的一方,刪除所有個人資料的任何連結、副本或複製品。
- 取用權 (Right to Access):可向資料控制方,尋求關於使用者本身的資料之使用方法、地點及目的等等。此外控制方也應以電子形式提供資料的副本供擁有者參考。
- 資料可攜權 (Right to data portability):意思是用戶可以以通用、機器可讀的形式取得某一服務的資料,進而轉移到另外一個服務上
- 隱私始於設計 (Privacy by design):組織需要採納隱私設計的架構,在最初階段就對隱私及資料保護問題進行預測及因應,並且應對裝置及應用程式實施嚴格的身分驗證及授權機制。
企業責任
知悉個資遭侵害,需 72 小時內通報與通知、個資保護影響評估、個資保護設計及預設。
影響產業
由於 GDPR 大大擴展了其涵蓋範圍,因此受到了全球的廣泛關注,因為從以往地域上的限制,轉變成為凡是向歐盟人民提供產品、服務或監測歐盟境內公民網路行為的境外企業都算。
受到影響的產業非常廣泛,影響甚大的產業有幾項:
醫療資訊
為了有效推動智慧醫療,許多病患的醫療資訊必須電子化,透過各種深度學習演算法去訓練模型,進而達成各種需求。而電子病歷所衍生的隱私問題,在高度安全的區塊鏈技術尚未普及的情況下,雖然可以透過去識別化初步的過濾掉個人資訊,然而在以往尚無法律強制性的時期,卻也無從確實地在使用醫療資料上保障個人隱私。現在,基於 GDPR 的規定,取得醫療資料的前提是有取得病患的同意,雖然增加了一些程序,但資料安全與隱私的保障所帶來的益處,不僅能夠保障病患的基本權利,也能提升資料使用上的正當性。
網路零售
這是一個會處理大量個人可識別資訊之產業,包括跨境電商、連鎖商店、旅遊服務、餐飲,只要是替歐盟顧客服務,掌握信用卡資料、地址、基本個資,都屬於 GDPR 規範中。再加上網路服務隨之產生的資料之大,使其更首當其衝,這也正是為何蘋果等網路服務公司 也推出了個資管理系統,以因應 GDPR 修訂。
金融
金融機構持有大量個人可識別資訊,每當涉及個資需要傳輸到境外、處理或利用到歐盟民眾個資、海外設有分行、委外業務,都可能受到影響。再加上歐盟在世界經濟中佔有第二大位,金流來往頻繁,更不用說近年區塊鏈技術的興起,資料隱私安全議題更是影響甚大。
航空運輸
航空運輸主宰當今人口移動的方式,旅客往返的機票、出入境資料也都涉及個人隱私。以台灣為例,華航、長榮兩家民營航空業者來說,目前在歐洲都有航點,不僅在海外設有辦公室,也需要頻繁處理大量旅客資料。
时间线
- 2012年1月25日: GDPR的提案发布。[11]
- 2013年10月21日: 欧洲议会公民自由委员会 (LIBE)进行了意向投票。
- 2015年12月15日: 欧洲议会、理事会和委员会之间的谈判(三部曲会议)产生了一项联合提案。
- 2015年12月17日: 欧洲议会的LIBE委员会投票支持三部曲会议的谈判结果。
- 2016年4月8日: 欧洲联盟理事会通过[12]。唯一投反对票的成员国是奥地利,该国辩称,与1995年的指令相比,数据保护水平在某些方面有所下降[13][14]。
- 2016年4月14日: 欧洲议会通过。[15]
- 2016年5月24日: 该条例在《欧盟官方公报》发布政府公报20天后生效。[16]
- 2018年5月25日: 条例生效两年后,其规定直接适用于所有会员国。[16]
- 2018年7月20日: 在欧洲经济区联合委员会和三个国家同意遵循该条例后,GDPR在欧洲经济区国家(冰岛、列支敦士登和挪威)[17]生效。[18]
参考文献
- 引用
- ^ 2016/679 ). Eur-lex.europa.eu. [2018-05-28]. (原始内容存档于2021-03-30) (英语).
- ^ Presidency of the Council: "Compromise text. Several partial general approaches have been instrumental in converging views in Council on the proposal for a General Data Protection Regulation in its entirety. The text on the Regulation which the Presidency submits for approval as a General Approach appears in annex," 201 pages, 11 June 2015, PDF, http://data.consilium.europa.eu/doc/document/ST-9565-2015-INIT/en/pdf (页面存档备份,存于互联网档案馆)
- ^ EUR-Lex - 31995L0046 - EN - EUR-Lex. [2018-05-01]. (原始内容存档于2017-12-29).
- ^ Blackmer, W.S. GDPR: Getting Ready for the New EU General Data Protection Regulation. Information Law Group. InfoLawGroup LLP. 5 May 2016 [22 June 2016]. (原始内容存档于2018-05-14).
- ^ New Data Protection Act finalised in the UK. Out-Law.com. [25 May 2018]. (原始内容存档于2018-05-25).
- ^ New UK Data Protection Act not welcomed by all. Computer Weekly. [25 May 2018]. (原始内容存档于2018-05-24) (英国英语).
- ^ Art. 3 GDPR – Territorial scope | General Data Protection Regulation (GDPR). General Data Protection Regulation (GDPR). [2018-04-12]. (原始内容存档于2021-04-04) (美国英语).
- ^ Fines and Penalties – GDPR EU.org. [2018-04-12]. (原始内容存档于2018-04-12) (美国英语).
- ^ How did we get there? – GDPR EU.org. [2019-06-17]. (原始内容存档于2020-03-25) (美国英语).
- ^ The regulation – GDPR EU.org. [2019-06-17]. (原始内容存档于2021-01-20) (美国英语).
- ^ Data protection (PDF). European Commission – European Commission. [3 January 2013]. (原始内容 (PDF)存档于3 December 2012).
- ^ Data protection reform: Council adopts position at first reading – Consilium. Europa (web portal). [2021-03-30]. (原始内容存档于2017-10-06).
- ^ Adoption of the Council's position at first reading 互联网档案馆的存檔,存档日期25 November 2017., Votewatch.eu
- ^ Written procedure 互联网档案馆的存檔,存档日期1 December 2017., 8 April 2016, Council of the European Union
- ^ Data protection reform – Parliament approves new rules fit for the digital era – News – European Parliament. [14 April 2016]. (原始内容存档于17 April 2016).
- ^ 16.0 16.1 Official Journal L 119/2016. eur-lex.europa.eu. [26 May 2018]. (原始内容存档于22 November 2018).
- ^ General Data Protection Regulation (GDPR) entered into force in the EEA. EFTA. 20 July 2018 [30 September 2018]. (原始内容存档于1 October 2018).
- ^ Kolsrud, Kjetil. GDPR – 20. juli er datoen!. Rett24. 10 July 2018 [13 July 2018]. (原始内容存档于13 July 2018).
外部連結
- Regulation (EU) 2016/679 of the European Parliament and of the Council (页面存档备份,存于互联网档案馆) 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)
- GDPR簡介 (页面存档备份,存于互联网档案馆)(繁體中文)
- 帶你搞懂GDPR (页面存档备份,存于互联网档案馆)(繁體中文)
- 國家發展委員會歐盟GDPR法規 (页面存档备份,存于互联网档案馆)(繁體中文)